black hat В основе современной разработки программного обеспечения лежит гниль, которая разрушает инновации, и легенда информационной безопасности Мокси Марлинспайк считает, что он точно знает, в чем причина: гибкая разработка.
Марлинспайк открыл второй день Black Hat выступлением, которое, по идее, должно было стать беседой у камина с основателем Black Hat Джеффом Моссом, но основатель Signal затмил всех, выступив в своей вступительной беседе с изложением аргументов в пользу возвращения «магии» разработки программного обеспечения, утраченной за 20 лет. По его словам, эта потеря произошла из-за того, что разработчиков загоняют в «черные ящики абстракций», что лишает их свободы, необходимой для инноваций.
«У любого, кто управляет инжиниринговой организацией, будет некая философия управления, которая в некотором роде является производной, производной, находится в зоне или каким-то образом связана с Agile», — сказал Марлинспайк.
Мокси Марлинспайк (слева) на Black Hat с основателем мероприятия Джеффом Моссом (справа) — Нажмите для увеличения
Вместо того чтобы позволить разработчикам работать снизу вверх таким образом, чтобы они могли объединить инженерный опыт с видением новых возможностей в существующих технологиях, гибкие команды в конечном итоге оказываются разрозненными, работающими отдельно друг от друга и не имеющими особого представления о том, что делают другие команды, утверждал он.
Эти команды, работающие по принципу «черного ящика», также, как правило, не имеют представления о некоторых основах того, что заставляет работать их собственные продукты, добавил позже основатель и генеральный директор Thistle Technologies Виндоус Снайдер во время заключительной сессии Black Hat Locknote.
Студенты, изучающие программирование, не изучают низкоуровневые языки или то, как взаимодействовать с машинным кодом, сказал Снайдер, а только высокоуровневые языки, которые упрощают разработку приложений, но оставляют инженеров без необходимого контекста для понимания того, как их части головоломки вписываются в более крупное, чрезвычайно взаимосвязанное целое.
Это, как объяснил утром Марлинспайк, лишило инженеров-программистов возможности делать что-то большее, чем производные продукты.
«Картина, которую я пытаюсь здесь нарисовать, такова: последние 20 лет мы потратили на адаптацию людей к программному обеспечению, помещая их в слои абстракции черного ящика, а затем помещая их в организации, состоящие из абстракции черного ящика. слои», — сказал Марлинспайк.
Понимание, как утверждал Марлинспайк, «является основой большинства важных разработок и истории открытий в области программного обеспечения».
И где можно найти такое понимание, если не среди «раздутых» рядов крупных инженерных организаций? Исследователи безопасности — ну да.
Профи в области информационной безопасности спешат на помощь
В то время как программная инженерия последние несколько десятилетий боролась за то, чтобы стать быстрее, гибче и, как следствие, более абстрактной, исследователи безопасности делали все наоборот, сказал Марлинспайк.
«Безопасность — это процесс рассмотрения абстракций с целью действительно понять, как работают вещи, что за ними стоит, а иногда и понять их лучше, чем люди, которые изначально их построили», — утверждал он.
«Я пытаюсь сказать, что, не зная этого, я думаю, вы, люди в этой комнате, на самом деле унаследовали свою Землю», — продолжил он.
В разработке программного обеспечения есть магия, утверждал Марлинспайк, говоря, что понимание того, как это работает, аналогично овладению волшебством в мире Гарри Поттера, где талантливый человек может изменить мир, имея только знания и волшебную палочку.
Люди, занимающиеся информационной безопасностью, продолжил он, сродни студентам Хогвартса, которые на самом деле не ненавидели свою домашнюю работу, в отличие от некоторых главных героев, которых мы могли бы упомянуть.
«[Сотрудники службы безопасности] — это те, кто сидел в библиотеке, изучал заклинания, на самом деле понимал, как все это работает… как в мире Гарри Поттера, единственное, что вам нужно, чтобы использовать эти знания, — это компьютер», — добавил Марлинспайк. «И он даже не обязательно должен быть хорошим». ®